picasso

R2 tor; C:\Program Files\Tor\tor.exe [3233806 2013-09-02] () [File not signed] FRST obcina parametry, powinny być dodatkowe komendy. I tu nie jest pewne kto to zamontował, bo infekcje się też posługują usługą Tor. Normalna instalacja po stronie użytkownika to zwykle nie jest usługa tylko inny typ instalacji, tzn. Tor Browser for Windows. Dla porównania ten temat (użytkownik nie rozpoznaje instalacji) oraz pełne parametry usługi: ========= reg query HKLM\SYSTEM\CurrentControlSet\Services\tor /s ========= HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor Type REG_DWORD 0x10 Start REG_DWORD 0x2 ErrorControl REG_DWORD 0x0 ImagePath REG_EXPAND_SZ "C:\Program Files\Tor\tor.exe" --nt-service "-ControlPort" "9051" DisplayName REG_SZ Tor Win32 Service ObjectName REG_SZ NT AUTHORITY\LocalService Description REG_SZ Provides an anonymous Internet communication system HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\Security Security REG_BINARY 01001480900000009C000000140000003000000002001C000100000002801400FF010F00010100000000000100000000020060000400000000001400FD01020001010000000000051200000000001800FF010F0001020000000000052000000020020000000014008D01020001010000000000050B00000000001800FD01020001020000000000052000000023020000010100000000000512000000010100000000000512000000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\Enum 0 REG_SZ Root\LEGACY_TOR\0000 Count REG_DWORD 0x1 NextInstance REG_DWORD 0x1 O które Ci konkretnie chodzi?

Jest tu zainstalowany Dameware Mini Remote Control, w tle działa też usługa Tor. Potwierdź, że nie są to celowe instalacje, a przejdę do usuwania.

Dopisałam w poście powyżej, byś spróbował zgłosić spam na adresy "abuse", które podaje Whois dla tego adresu IP. To co przychodzi to odrzucone wysyłki ze względu na niedostępność skrzynek odbiorców. Wcale nie jest wykluczone, że inny adres e-mail też jest używany jako fałszywy nadawca, tylko może tego nie być "widać", tzn. brak błędów przesyłki i wiadomości dochodzą do skrzynek docelowych. Są to oczywiście spekulacje.

Przecież podałam Ci powyżej materiały, przeczytaj je: Masz dokładnie opisany proces w obu linkach. Cytuję ponownie: Received: from [49.144.246.7] (helo=wiroart.pl) Rozsyłacz spamu to filipiński serwer, domena wiroart.pl na której masz podpięte konto e-mail została "wylosowana" do spamu, Twój e-mail (i pewnie inne z tej samej domeny) jest używany jako fałszywy nadawca, a e-maile wracają, bo adresy odbiorców spamu są wadliwe. Nie jesteś w stanie tego procesu powstrzymać, bo to się nie dzieje na Twoim poziomie. Jest to frustrujące, ale nie ma możliwości "naprawy" o jakiej myślisz. Spamerzy mogą przestać po jakimś czasie przenosząc się na fałszowanie innej domeny. Ponawiam, przeczytaj powyższy link numer 2. Podawałam też Whois: KLIK. Tam są adresy typu "abuse", na które można zgłosić spam. A czynności kończące czyszczenie adware podam potem.

To wygląda na próbę rozsyłania spamu sfałszowaną, by wyglądała jak wysyłana z Twojego konta. Stoi tu filipińskie IP: KLIK. Received: from [49.144.246.7] (helo=wiroart.pl) Porównaj również pola "From" i "To", ta sama dziwna "osoba" przypisana do dwóch różnych adresów e-mail (jako "nadawca" i "odbiorca"): From: Firas Moha Moha vs. To: (...) "Firas Moha Moha" MAŁPAhotmail.com> (...) I jeszcze na dodatek w e-mail szkodliwy link: hxxp://criando-site.net/Cameron.php?Firas_Moha_Moha Pole "From" można podrabiać. Więcej na temat powyższych: KLIK (Method 2 of 2: Send a Fake Email) / KLIK. Oczywiście, przecież zadane akcje nie miały nic z tym wspólnego: W raportach po prostu ujawnił się dodatkowy problem właśnie rozwiązany.

Kolejność instrukcji jest ścisła, gdyż wszystkie modyfikacje mają odbicie w raportach. Tym sposobem mam nieświeży log FRST nadal pokazujący przekierowanie, którego może nie być już. Ja wiem co to za gra, ale przecież Ci pokazałam, że są dwa różne typy skrótów: WorldofTanks (podejrzany / podróbka) vs. World of Tanks (poprawne skróty gry, były jednak puste i je usuwałam). Prawdziwa gra miała następujące odniesienia: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Deinstalacja programu World of Tanks.lnk -> F:\Games\World_of_Tanks\unins000.exe (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\World of Tanks.lnk -> F:\Games\World_of_Tanks\WOTLauncher.exe (No File) InternetURL: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Instrukcja do gry World of Tanks.url -> hxxp://worldoftanks.eu/content/guide/ InternetURL: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Strona WWW programu World of Tanks.url -> hxxp://www.worldoftanks.eu "WorldofTanks" nie odpowiada prawdziwej instalacji. Porównaj też z tym tematem: KLIK. Użytkownik zgłasza to jako rzecz niechcianą / wprowadzoną nieświadomie. U niego skróty są następujące: ShortcutWithArgument: C:\Users\a\Desktop\WorldofTanks.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/ ShortcutWithArgument: C:\Users\a\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks\WorldofTanks.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/ ShortcutWithArgument: C:\Users\a\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/ Masz dokładnie ten sam system skrótów, tylko inna przeglądarka w obrotach, i mówiłam: "z pewnością tu były dodatkowe argumenty otwierania jakiegoś URL usuwane czymś wcześniej". U tego użytkownika do ścieżki Firefox jest doklejony URL mmotraffic.com. U Ciebie z pewnością był podobny URL nabijania kasy, tylko przypuszczalnie dużo wcześniej uruchamiany AdwCleaner "obciął" parametry w ramach leczenia skrótów. Shortcut: C:\Users\admin\Desktop\WorldofTanks.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) Shortcut: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks\WorldofTanks.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) Shortcut: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) Frazy "World of Tanks" / "WordOfTanks" / "WOT" obecnie nie definiują braku szkodliwości, bo adware używa pośrednio odwołań do gry, by zarobić: KLIK / KLIK. mmotraffic.com = "MAKE MONEY ONLINE WITH THE WORLD'S ONLY DEDICATED MMO PUBLISHER PLATFORM" Prócz powyższego triku ze skrótami w dobrze widocznych miejscach, by użytkownik je klikał, widziałam też trik z Harmonogramem zadań, w którym od góry do dołu tzw. zadania "WOT" kierujące na sponsorowane linki mmotraffic.com - system jest stajnią produkcji klików. Skoro jest błąd deinstalacji, będzie ręczne usuwanie via skrypt FRST. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: C:\Users\admin\Desktop\WorldofTanks.lnk C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks Folder: C:\Users\admin\AppData\Roaming\WorldofTanks Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\WorldofTanks /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Obecnie w systemie nie ma żadnych doinstalowanych bibliotek, więc błąd określonych aplikacji zależnych od niektórych wersji jest spodziewany. Błędów powinno być nawet więcej, również od aplikacji uprzednio działających, które mają zależność Visual C++ Redistributable. Teraz: Uruchom Windows Update i zainstaluj wszystkie ważne aktualizacje, które zostaną podstawione. Rundy z wyszukiwaniem aktualizacji powtarzaj do skutku, tzn. do momentu, gdy system zakomunikuje, że brak aktualizacji. Po tej akcji zrób nowy skan FRST, ale podaj mi tylko log Addition.

Zaprezentuj na obrazku / przeklej dane jak te zgłoszenia "Mail Delivery" dokładnie wyglądają. W systemie nie widać oznak czynnej infekcji tego rodzaju, ale jest adware. Wstępne działania: 1. Odinstaluj zbędnik McAfee Security Scan Plus ora adware Search App by Ask. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 Update Rock Turner; "C:\Program Files (x86)\Rock Turner\updateRockTurner.exe" [X] S2 Util Rock Turner; "C:\Program Files (x86)\Rock Turner\bin\utilRockTurner.exe" [X] Task: {29DC6E06-25D0-48F0-8695-6733BD119C44} - System32\Tasks\{AA4DAA84-33A1-48C9-8139-C0621FFCE833} => pcalua.exe -a D:\SETUP.EXE -d D:\ Task: {2FC00511-8220-438F-B988-1B555D3EEA5B} - System32\Tasks\{478F8840-7ED6-4F0A-95C0-EFB0AC6460E2} => C:\Users\ppp\Downloads\N360-TW-21.0.0-EN(1).exe Task: {46F11A4F-F52E-4AD4-BEFF-2E738EE0DEEF} - \RegClean Pro_UPDATES No Task File Task: {60F456E1-4E9A-4244-A414-322A3F460942} - System32\Tasks\{2621CA98-AFCA-40AE-9113-B59D6884337D} => C:\Users\ppp\Downloads\N360-TW-21.0.0-EN(1).exe Task: {6858C71A-3E57-481B-AEEC-C74BB499B7EF} - System32\Tasks\{7DAB3B29-D5AC-4899-9721-340D67FE36DD} => C:\Users\ppp\Downloads\Google_Drive_Sciagnij.pl.exe [2014-05-22] () Task: {6BE5F5C9-3160-4979-A57F-256F80ACC16C} - System32\Tasks\{A27E26E5-354B-4B5B-9CE9-B26116747095} => pcalua.exe -a C:\Users\ppp\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {6C8DAA59-211D-4FED-BB44-247FDD8674CD} - System32\Tasks\{1CAF65B0-53D8-4CBF-9476-D2B256787B7E} => C:\Users\ppp\Downloads\N360-TW-21.0.0-EN(1).exe Task: {6FD379EA-4D23-4C1D-B7C2-0EE2FA14C892} - System32\Tasks\{B6D01BC9-ABE7-4FE9-914A-E4A797B08F34} => C:\Users\ppp\Desktop\Nowy folder\SETUP.EXE Task: {9D111092-63F4-49FF-B920-F4DF89FE719A} - System32\Tasks\{B07DEC2F-E2A7-4089-AFCD-8D765604AD8C} => pcalua.exe -a H:\SETUP.EXE -d H:\ Task: {A7647A57-EDA4-446C-AA69-3793E2E6612C} - System32\Tasks\RegClean Prosch => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe Task: {C22D51CE-BCCA-4791-BE0E-CFE2A53E7A13} - \RegClean Pro_DEFAULT No Task File Task: C:\Windows\Tasks\RegClean Prosch.job => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1417511556&from=cor&uid=ST1000DL002-9TT153_W1V0XXAAXXXXW1V0XXAA" CHR HKU\S-1-5-21-3130494160-1199666095-3665619860-1000\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - No Path CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-3130494160-1199666095-3665619860-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=n360&pvid=21.5.0.19 SearchScopes: HKLM-x32 -> DefaultScope value is missing. ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan C:\Program Files (x86)\AskPartnerNetwork C:\Users\ppp\AppData\Local\AskPartnerNetwork C:\Users\ppp\AppData\Roaming\ESET C:\Users\ppp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Hugin C:\Users\ppp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Recuva C:\Users\ppp\AppData\Roaming\Opera Software C:\Users\ppp\AppData\Roaming\RHEng C:\Users\ppp\AppData\Roaming\rmi C:\Users\ppp\AppData\Roaming\WebTest C:\Users\ppp\Desktop\Programy\avast! Free Antivirus.lnk C:\Users\ppp\Desktop\Programy\Norton 360.lnk C:\Users\ppp\Desktop\Programy\RegClean Pro.lnk C:\Users\ppp\Desktop\Programy\SpeedFan.lnk C:\Users\ppp\Downloads\Google_Drive_Sciagnij.pl.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować (Adblock Plus, DownloadHelper, NetVideoHunter). 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W raportach widać tylko jedno przekierowanie isearch.omiga-plus.com w Google Chrome: CHR StartupUrls: Default -> "hxxp://google.pl/", "hxxp://isearch.omiga-plus.com/?type=hp&ts=1418571352&from=cor&uid=WDCXWD10EZEX-00KUWA0_WD-WCC1S488122281222" SpyHunter - a kysz, to wątpliwy program z czarnej listy (zwodnicze reklamodawstwo, byle go zainstalować). Ponadto, jest tu podejrzana instalacja WorldofTanks, która budzi skojarzenia, że nie jest to oryginał - instalacja ta utworzyła dziwne skróty kierujące do otwierania IE - z pewnością tu były dodatkowe argumenty otwierania jakiegoś URL usuwane czymś wcześniej: Shortcut: C:\Users\admin\Desktop\WorldofTanks.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) Shortcut: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks\WorldofTanks.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) Shortcut: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) To co wygląda na prawdziwą instalację ma za to puste skróty kierujące donikąd: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Deinstalacja programu World of Tanks.lnk -> F:\Games\World_of_Tanks\unins000.exe (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\World of Tanks.lnk -> F:\Games\World_of_Tanks\WOTLauncher.exe (No File) Dodatkowo, masz taki oto błąd i trzeba to skorygować: System errors: ============= Error: (12/17/2014 10:34:15 AM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Harmonogram zadań zależy od usługi Dziennik zdarzeń systemu Windows, której nie można uruchomić z powodu następującego błędu: %%1058 Wstępne czyszczenie tego co widać: 1. Odinstaluj starsze wersje i te wątpliwe programy: Adobe Flash Player 15 Plugin, Adobe Reader 9.5.0 - Polish, Java 7 Update 60 (64-bit), Java 7 Update 60, SpyHunter, WorldofTanks. Skrót do deinstalatora SpyHunter jest w Menu Start: Shortcut: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter\Uninstall SpyHunter.lnk -> C:\Windows\SysWOW64\msiexec.exe (Microsoft Corporation) Nie instaluj na razie najnowszych wersji Adobe i Java - to podam na końcu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: No Name -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> No File BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files (x86)\Microsoft Silverlight\5.1.30214.0\npctrl.dll No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll No File S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cossacks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cossacks - The Art Of War C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Desura C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Warplanes C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\admin\AppData\Roaming\0ad C:\Users\admin\AppData\Roaming\GG C:\Users\admin\AppData\Roaming\Opera Software C:\Users\admin\Favorites\GG dysk.lnk C:\Users\admin\Links\GG dysk.lnk Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Desura" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: sc config Eventlog start= auto EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres isearch.omiga-plus.com, przestaw na "Otwórz stronę nowej karty". 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Uruchom Reprofiler i zaprezentuj co się pokazuje.

Co się stało z załącznikiem skanu Avira w pierwszym poście? Przywróciłam go. Na 100% ominąłeś reset podklucza cfg. I nie jest problemem usunąć ten klucz, zadam stosowną komendę w skrypcie FRST poniżej. FRST ma silną dyrektywę do usuwania kluczy zablokowanych przez uprawnienia i inne sztuczki. Płeć żeńska. Polecam Malwarebytes Anti-Malware. To obecnie nowoczesny skaner antymalware, na bieżąco z zagrożeniami, ma też moduł antyrootkit wbudowany. Wersja darmowa to skaner na żądanie, w wersji komercyjnej jest osłona rezydentna. Może darmowy CDBurnerXP? Uwaga: domyślny instalator ma adware OpenCandy, wybierz instalator alternatywny bez tego śmiecia, tzn. More download options i pozycję Default installer (Without OpenCandy): KLIK. Przy okazji jeszcze poczytaj ogólnie o instalatorach adware: KLIK. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\sptd Reg: reg query "HKU\S-1-5-21-2967589604-1285010922-3187333532-1001\Software\Microsoft\Internet Explorer\SearchScopes" /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Wszystko zrobione. Poprawki: 1. Otwórz Notatnik i wklej w nim: C:\ProgramData\3150018638 Folder: C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Preferences" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner, wybierz opcję Szukaj, pokaż wynikowy log z folderu C:\AdwCleaner.

kontik, nic z tego nie wynika, nie wiadomo co jest w systemie (sugerujesz, że tu jest problem), więc dostarcz raporty z FRST.

Obaj macie NVIDIA GeForce Experience i wygląda to na błąd tej aplikacji a nie czynników trzecich, dużo osób zgłasza to samo: KLIK. Podobno jest jakaś nowsza aktualizacja, więc sprawdźcie. PS. ShotgunXC, całe logi CBS są zbędne, należy je ograniczyć tylko do akcji SFC. Nie przefiltrowałeś raportu jak należy: KLIK. Wstępnie skleiłam te dwa koszmary razem i zapuściłam filtr - wyniki podmienione w pierwszym poście, ale to nie wygląda na całość. Ponów komendę findstr na oryginalnym pliku CBS.LOG i wynikowy log podstaw w pierwszym poście.

Temat przenoszę do działu diagnostyki infekcji. W starcie widoczna infekcja. Ale zestaw podanych logów jest nieodpowiedni, pomijając że OTL niepełny (brak Extras), nowy obowiązkowy log to FRST, brakuje też GMER. Uzupełnij.

Jeśli temat nadal aktualny: Skan SFC jakoby uzupełnił uszkodzony folder Windows Defender: 2014-12-12 19:15:11, Info CSI 0000032a [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MpEvMsg.dll" from store 2014-12-12 19:15:11, Info CSI 0000032b [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MsMpRes.dll" from store 2014-12-12 19:15:11, Info CSI 0000032c [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:18{9}]"MpRTP.dll" from store 2014-12-12 19:15:11, Info CSI 0000032d [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpClient.dll" from store 2014-12-12 19:15:11, Info CSI 0000032e [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpCmdRun.exe" from store 2014-12-12 19:15:11, Info CSI 0000032f [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpAsDesc.dll" from store 2014-12-12 19:15:11, Info CSI 00000330 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:18{9}]"MpSvc.dll" from store 2014-12-12 19:15:11, Info CSI 00000331 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MsMpCom.dll" from store 2014-12-12 19:15:11, Info CSI 00000332 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MsMpLics.dll" from store 2014-12-12 19:15:11, Info CSI 00000333 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MSASCui.exe" from store 2014-12-12 19:15:11, Info CSI 00000334 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MpCommu.dll" from store 2014-12-12 19:15:11, Info CSI 00000335 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:18{9}]"MpOAV.dll" from store 2014-12-12 19:15:11, Info CSI 00000336 [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Program Files\Windows Defender\pl-PL"\[l:30{15}]"MsMpRes.dll.mui" from store 2014-12-12 19:15:11, Info CSI 00000337 [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Program Files\Windows Defender\pl-PL"\[l:32{16}]"MpAsDesc.dll.mui" from store 2014-12-12 19:15:11, Info CSI 00000338 [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Program Files\Windows Defender\pl-PL"\[l:30{15}]"MpEvMsg.dll.mui" from store Ale to nie wszystko, usuwałeś agresywnie nie wiadomo co i skąd za pomocą Revo, brakuje conajmniej usługi w rejestrze, ale możliwe że więcej. Podaj dodatkowy skan orientacyjny (pomijam bardziej zagrzebaną sekcję komponentów Windows - może Revo aż taki głęboki nie był) - otwórz Notatnik i wklej w nim: Folder: C:\Program Files\Windows Defender Folder: C:\Program Files (x86)\Windows Defender Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows Defender" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows Defender" /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

gnomiuszka Nie, to nie jest konto Gościa. Kieruje go na profil systemowy C:\Windows\system32\config\systemprofile. kwacek Proszę nie kombinuj paczek na SpeedyShare, to jest utrudnienie - wstawiłam jako osobne załączniki. W Dzienniku zdarzeń cała kolekcja błędów dostępowych do poprzedniego konta: [ Application Events ] Error - 2014-12-16 12:11:07 | Computer Name = Kwacek-Komputer | Source = Microsoft-Windows-User Profiles Service | ID = 1515 Description = System Windows wykonał kopię zapasową tego profilu użytkownika. System Windows automatycznie spróbuje użyć profilu z kopii zapasowej przy następnym logowaniu tego użytkownika. Error - 2014-12-16 12:11:07 | Computer Name = Kwacek-Komputer | Source = Microsoft-Windows-User Profiles Service | ID = 1511 Description = System Windows nie może znaleźć profilu lokalnego i loguje użytkownika przy użyciu profilu tymczasowego. Zmiany wprowadzone w profilu zostaną utracone po wylogowaniu. Error - 2014-12-16 12:11:08 | Computer Name = Kwacek-Komputer | Source = Microsoft-Windows-User Profiles Service | ID = 1508 Description = System Windows nie może załadować rejestru. Częstą przyczyną tego problemu jest za mała ilość pamięci lub brak wystarczających praw zabezpieczeń. SZCZEGÓŁY - Odmowa dostępu. for C:\Users\TEMP\ntuser.dat Error - 2014-12-16 12:11:08 | Computer Name = Kwacek-Komputer | Source = Microsoft-Windows-User Profiles Service | ID = 1505 Description = System Windows nie może załadować profilu użytkownika, ale wykonał logowanie przy użyciu domyślnego profilu systemowego. SZCZEGÓŁY - Odmowa dostępu. No i właśnie, interesuje mnie czy coś wykonałeś z linkowanego podobnego tematu - co mówi Reprofiler. PS. A teraz głównym raportem na forum jest FRST, a nie OTL.

Ten błąd, który pokazujesz, jest od Adobe Reader. Nie widziałam tego wpisu uprzednio w raportach, można go wyłączyć ze startu, ale to tylko chwilowe obejście problemu i to tylko dla jednej ze zdefektowanych aplikacji. Proponuję zacząć od oczyszczenia atmosfery i deinstalacji wszystkich dodanych bibliotek: ==================== Installed Programs ====================== Microsoft .NET Framework 1.1 (HKLM-x32\...\Microsoft .NET Framework 1.1 (1033)) (Version: - ) Microsoft .NET Framework 1.1 Security Update (KB2698023) (HKLM-x32\...\M2698023) (Version: - ) Microsoft .NET Framework 1.1 Security Update (KB2833941) (HKLM-x32\...\M2833941) (Version: - ) Microsoft .NET Framework 1.1 Security Update (KB979906) (HKLM-x32\...\M979906) (Version: - ) Microsoft .NET Framework 1.1 SP1 (HKLM\...\{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}) (Version: - ) Microsoft .NET Framework 1.1 SP1 (HKLM\...\Microsoft .NET Framework 1.1 (1033)) (Version: - ) Microsoft .NET Framework 4 Client Profile (HKLM\...\Microsoft .NET Framework 4 Client Profile) (Version: 4.0.30319 - Microsoft Corporation) Microsoft .NET Framework 4 Extended (HKLM\...\Microsoft .NET Framework 4 Extended) (Version: 4.0.30319 - Microsoft Corporation) Microsoft .NET Framework 4 Multi-Targeting Pack (HKLM-x32\...\{CFEF48A8-BFB8-3EAC-8BA5-DE4F8AA267CE}) (Version: 4.0.30319 - Microsoft Corporation) Microsoft SQL Server 2008 R2 Management Objects (HKLM-x32\...\{4E968D9C-21A7-4915-B698-F7AEB913541D}) (Version: 10.50.1447.4 - Microsoft Corporation) Microsoft SQL Server Compact 3.5 SP2 ENU (HKLM-x32\...\{3A9FC03D-C685-4831-94CF-4EDFD3749497}) (Version: 3.5.8080.0 - Microsoft Corporation) Microsoft SQL Server Compact 3.5 SP2 x64 ENU (HKLM\...\{D4AD39AD-091E-4D33-BB2B-59F6FCB8ADC3}) (Version: 3.5.8080.0 - Microsoft Corporation) Microsoft SQL Server System CLR Types (HKLM-x32\...\{2A2F3AE8-246A-4252-BB26-1BEB45627074}) (Version: 10.50.1447.4 - Microsoft Corporation) Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}) (Version: 8.0.61187 - Microsoft Corporation) Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{837b34e3-7c30-493c-8f6a-2b0f04e2912c}) (Version: 8.0.59193 - Microsoft Corporation) Microsoft Visual C++ 2005 Redistributable (x64) (HKLM\...\{6ce5bae9-d3ca-4b99-891a-1dc6c118a5fc}) (Version: 8.0.59192 - Microsoft Corporation) Microsoft Visual C++ 2005 Redistributable (x64) (HKLM\...\{ad8a2fa1-06e7-4b0d-927d-6e54b3d31028}) (Version: 8.0.61186 - Microsoft Corporation) Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.7523 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.7523 - Microsoft Corporation) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM-x32\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4974 (HKLM-x32\...\{B7E38540-E355-3503-AFD7-635B2F2F76E1}) (Version: 9.0.30729.4974 - Microsoft Corporation) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.7523 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.7523 - Microsoft Corporation) Microsoft Visual C++ 2010 x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation) Microsoft Visual C++ 2010 x64 Runtime - 10.0.30319 (HKLM\...\{94D70749-4281-39AC-AD90-B56A0E0A402E}) (Version: 10.0.30319 - Microsoft Corporation) Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation) Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.60830 (HKLM-x32\...\{c7ed0d4c-89c5-47fc-9e89-1088affe63f3}) (Version: 11.0.60830.0 - Microsoft Corporation) Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.60830 (HKLM-x32\...\{9dba0447-b749-41ea-90bc-2aa19a9eb580}) (Version: 11.0.60830.0 - Microsoft Corporation) Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.21005 (HKLM-x32\...\{90ffcee5-8608-4e94-8c18-a4feb4f83fb8}) (Version: 12.0.21005.1 - Microsoft Corporation) Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.21005 (HKLM-x32\...\{4fcf070a-daac-45e9-a8b0-6850941f7ed8}) (Version: 12.0.21005.1 - Microsoft Corporation) Microsoft Visual J# 2.0 Redistributable Package - SE (x64) (HKLM\...\Microsoft Visual J# 2.0 Redistributable Package - SE (x64)) (Version: - Microsoft Corporation) Microsoft Visual Studio 2010 ADO.NET Entity Framework Tools (HKLM-x32\...\{14DD7530-CCD2-3798-B37D-3839ED6A441C}) (Version: 10.0.30319 - Microsoft Corporation) Microsoft Visual Studio 2010 Express Prerequisites x64 - ENU (HKLM\...\{BCA26999-EC22-3007-BB79-638913079C9A}) (Version: 10.0.30319 - Microsoft Corporation) Microsoft XNA Framework Redistributable 4.0 (HKLM-x32\...\{2BFC7AA0-544C-4E3A-8796-67F3BE655BE9}) (Version: 4.0.20823.0 - Microsoft Corporation) Visual Studio 2010 Tools for SQL Server Compact 3.5 SP2 ENU (HKLM-x32\...\{112C23F2-C036-4D40-BED4-0CB47BF5555C}) (Version: 4.0.8080.0 - Microsoft Corporation) Czyli: 1. Panel sterowania > Programy > Odinstaluj program > odinstaluj wszystkie wyliczone pozycje. Następnie Panel sterowania > Programy > Zainstalowane aktualizacje > przejrzyj czy nie zostały jakieś aktualizacje od .NET Framework i Visual C++ > ewentualne znaleziska też odinstaluj. 2. Zastosuj narzędzia: Fix It + .NET Framework Cleanup Tool + Microsoft Visual Studio 2010 Uninstall Utility. To ostatnie narzędzie pobierasz z tego linka: KLIK. 3. Po operacjach zresetuj system. Zrób nowy log FRST - zaznacz pole Addition, by powstał log potwierdzający deinstalacje. I w razie potrzeby któreś instalacje zostaną uzupełnione ponownie. Temat przenoszę do działu Windows.

Usunąłeś tylko Alcohol, ale nie jego sterownik który właśnie powoduje ten odczyt. Deinstalacja Alcohol nie usuwa sterownika SPTD (pokazuje go FRST) - on musi być traktowany indywidualnie: KLIK. Po usunięciu sterownika wymagany restart, by odładować go w pełni z pamięci. R0 sptd; C:\Windows\System32\Drivers\sptd.sys [386680 2014-11-08] (Duplex Secure Ltd.) Usunięcie sterownika Alcohola wpływa tylko na ustąpienie odczytu "Hidden driver". Pozostałe wyniki nadal będziesz miał wykrywane, one nie są szkodliwe. Hidden driver [NOTE] A memory modification has been detected, which could potentially be used to hide file access attempts. W podanych raportach brak oznak infekcji, ale możesz przeprowadzić dodatkowe działania: 1. Kolejny nie odinstalowany komponent przemycony przez instalację Alcohol to Smart File Advisor - należało ten zbędnik odznaczyć przy instalacji Alcohola. Poza tym, w systemie jest przestarzały konstrukcyjnie Spybot - Search & Destroy 2. To program 32-bit i słabo nadaje się na system 64-bit, lata świetności też ma za sobą. 2. Usunięcie wpisów pustych i czyszczenie Tempów. Otwórz Notatnik i wklej w nim: CloseProcesses: CHR HKLM-x32\...\Chrome\Extension: [lpdfbkehegfmedglgemnhbnpmfmioggj] - No Path ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20141008 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20141008 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\ProgramData\Temp C:\Users\T540p\AppData\Roaming\WebApp C:\Users\T540p\AppData\Roaming\WebExtend Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przestaw ten log.

1. Przez SHIFT+DEL skasuj poniższe foldery (to falsyfikaty dorobione przez adware): C:\Users\Administrator C:\Users\Gość C:\Users\HomeGroupUser$ C:\Users\postgres.admin-Komputer\AppData\Local\Google 2. Następnie uruchom AdwCleaner, zastosuj kombinację Szukaj + Usuń, dostarcz wynikowy log AdwCleanerS0.txt.

Nic nowego się nie pojawiło. Poprzednio był Tor, ale to rozwiązane. Jeśli nadal są problemy z siecią, to jeszcze proponuję: - Odinstalować Pando Media Booster. Przykładowy temat, w którym dziad wpływał negatywnie na sieć: KLIK. - Sprawdzić wpływ AVG Accelerator (AVG to świeża instalacja tutaj). Przykładowy temat: KLIK. W zakresie czyszczenia systemu już kończymy. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Dom\Desktop\FRST-OlderVersion RemoveDirectory: C:\Users\HolloW\Desktop\Stare dane programu Firefox Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: C:\Users\HolloW\Downloads\ComboFix.exe /uninstall Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ostatnia komenda to deinstalacja ComboFix. Zaprezentuj wynikowy fixlog.txt.

Widzę Firefox na liście zainstalowanych: ==================== Installed Programs ====================== Mozilla Firefox 33.1 (x86 en-US) (HKLM-x32\...\Mozilla Firefox 33.1 (x86 en-US)) (Version: 33.1 - Mozilla) Mówiłam o uruchamianiu Firefox, bo w logu stał taki oto dziwny odczyt: FF Extension: No Name - C:\FRST\Quarantine\C\Program Files (x86)\Mozilla Firefox\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [Not Found] Folder Firefox owszem usuwałam, tylko że było to w poście numer #4 - skrypt był robiony w oparciu o wcześniejszy log, w którym Firefox nie był na liście zainstalowanych. Po moim usuwaniu wszystko było w porządku z Firefoxem, dopiero teraz coś jest nie tak. Czy obecnie widzisz na dysku folder C:\Program Files (x86)\Mozilla Firefox?

O nowy log FRST nie prosiłam, zbędny. Fix wykonany. Czy są notowalne jakieś zmiany po wyłączeniu aktualizatora PLAY ONLINE? Owszem, jest nadal przydatny w limitowany sposób: baza porównawcza, mniej silne filtrowanie usług / sterowników (nie muszę za każdym razem wyłączać białej listy w FRST), skan kilku drobniejszych rzeczy których nie ma i nie będzie w FRST (np. detekcja plików autorun.inf, lista autoryzacji zapory czy wszystkich plików bez producenta). Za jakiś czas jednak pewnie usunę go z wymagań.

Niestety, ale nadal te same problemy, plik Fixlist jest niepoprawny, następuje sklejanie linii i nic się nie wykonuje. Za pomocą jakiej przeglądarki przeklejasz z posta skrypt, w jaki sposób robisz plik (czy na pewno w Notatniku - inne edytory odpadają)? Poprzednie zadania nadal aktualne.